本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用 AWSManaged Microsoft AD 的 Amazon CloudWatch Logs 日誌轉送
您可以使用 Directory Service主控台或 APIs,將網域控制器安全事件日誌轉送至 AWSManaged Microsoft AD 的 Amazon CloudWatch Logs。這可讓目錄中的安全事件公開透明,協助滿足安全監控、稽核和日誌保留政策需求。
CloudWatch Logs 也可以將這些事件轉送至其他AWS帳戶、AWS服務或第三方應用程式。您可以更輕鬆地集中監控和設定提醒,以近乎即時的速度主動偵測和回應不尋常的活動。
啟用之後,即可使用 CloudWatch Logs 主控台,從您啟用服務時所指定的日誌群組擷取資料。此日誌群組包含您網域控制器的安全日誌。
如需日誌群組以及如何讀取它們的資料的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的使用日誌群組和日誌串流兩節。
注意
使用 AWS 管理主控台啟用 Amazon CloudWatch Logs 日誌轉送
您可以在 中為 AWSManaged Microsoft AD 啟用 Amazon CloudWatch Logs 日誌轉送AWS 管理主控台。
-
在 Directory Service 主控台
導覽窗格中,選擇 Directories (目錄)。 -
選擇您要共用之 AWSManaged Microsoft AD 目錄的目錄 ID。
-
在目錄詳細資訊頁面上,執行下列其中一項:
-
如果多區域複寫下顯示多個區域,請選取要啟用日誌轉發的區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域。
-
如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。
-
-
在 Log forwarding (日誌轉發) 部分,選擇 Enable (啟用)。
-
在啟用日誌轉發至 CloudWatch 對話方塊中,選擇下列其中一個選項:
-
在 CloudWatch 日誌群組名稱底下,選取建立新的 CloudWatch 日誌群組,指定您可以在 CloudWatch Logs 中參考的名稱。
-
選取 Choose an existing CloudWatch log group (選擇現有 CloudWatch 日誌群組),並在 Existing CloudWatch log groups (現有 CloudWatch 日誌群組) 中,從功能表選出一個日誌群組。
-
-
檢閱價格資訊和連結,然後選擇 Enable (啟用)。
使用 CLI 或 PowerShell 啟用 Amazon CloudWatch Logs 日誌轉送
使用 ds create-log-subscription 指令之前,必須先建立 Amazon CloudWatch 日誌群組,然後建立 IAM 資源政策以授與該群組必要的許可。若要使用 CLI 或 PowerShell 啟用日誌轉送,請完成下列步驟。
步驟 1:在 CloudWatch Logs 中建立日誌群組
建立日誌群組以接收網域控制器的安全日誌。我們建議在名稱前面加上 /aws/directoryservice/,但這並非必要步驟。例如:
如需有關如何建立 CloudWatch 日誌群組的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的在 CloudWatch Logs 中建立日誌群組。
步驟 2:在 IAM 中建立 CloudWatch Logs 資源政策
建立 CloudWatch Logs 資源政策,授予將日誌新增至您在步驟 1 中建立之新日誌群組Directory Service的權限。您可以指定日誌群組的確切 ARN,以限制 對其他日誌群組Directory Service的存取,或使用萬用字元來包含所有日誌群組。下列範例政策使用 萬用字元方法,來識別將包含目錄所在的AWS帳戶所有以 /aws/directoryservice/ 開頭的日誌群組。
您必須在本機工作站上將此政策儲存為文字檔格式 (例如 DSPolicy.json),以便之後從 CLI 加以執行。例如:
步驟 3:建立Directory Service日誌訂閱
在此最終步驟中,您可以藉由建立日誌訂閱,來啟用日誌轉發功能。例如:
